接省教育厅文件，为加强信息系统（网站）安全，提升我省教育系统网络安全保障能力，近期省厅会安排检查组抽查各高校落实情况，为顺利通过检查，请各部门/学院按照文件指示的要求，将本部门负责的系统和网站针对弱口令等7项网络安全风险立即开展排查整改，后续信息中心会于下周进行抽查，重点检查上半年度出现过网络安全事件的相关部门。

具体抽查项如下：

1.弱口令风险等级：高

风险描述：未对密码设置策略进行强制要求，用户使用弱口令、通用口令，账户被黑客破解并控制，造成信息泄露，发布欺骗信息、恶意文件、钓鱼邮件等问题，产生严重的后果及影响。

修复建议：设定强制密码策略，密码至少由数字、字母、符号等三种字符组合、长度不少于12位；定期更换密码；禁用长期未登录账户和已离职人员账户；增加多因素验证机制。

2.补丁升级

风险等级：高

风险详情：应用程序、WEB 中间件版本过低或已安装版本存在安全漏洞时，黑客可通过程序缺陷进行命令执行、拒绝服务攻击、反序列化等多种攻击获取网站服务器权限。

修复建议：关注厂商发布的更新动态，及时安装补丁和升级软件版本。

3.木马后门植入

风险等级：高

风险描述：木马植入是攻击者通过技术手段将木马程序上传于服务器中，对被感染木马病毒的计算机实施操作并取得网站或服务器管理员权限，一般木马植入会伴随系统本身存在的漏洞、脆弱性配置、弱口令等其他威胁。

修复建议：定期开展木马查杀，删除被植入的后门木马，并通过检查日志文件查明入侵途径及影响危害。及时修复网站或服务器漏洞，对服务器上传文件类型进行检验和限制。

4.信息泄露

风险等级：中

风险描述：敏感数据包括但不限于口令、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。在网站的报错中，也有可能暴露本身系统的敏感信息，例如 sql 语句的泄露，中间件版本的泄露。

修复建议：禁止在代码中存储敏感数据；禁止在代码中存储如数据库连接字符串、口令和密钥等敏感数据，这样容易导致泄密；禁止密钥或账号的口令以明文形式存储在数据库或者文件中，密钥或者账号的口令必须经过加密存储。